安全测试AppScan--使用教程
前提:预先安装好AppScan工具,我的版本是9.0.3.7
1.新建扫描,一般选择 常规扫描,文件--新建 或者 ctrl+N;
2.扫描配置向导,第一种为web扫描,第二种是app扫描需要设置代理,下一步;
3.输入想要测试的URL,会自动检测是否连接到服务器,下一步;
4.有两个地方要注意一下,登录方法 记录 和 尚未记录登录
测试web没有验证码情况下,可以使用(“记录”和“自动”登陆方法);
有验证码情况下,可以使用“提示”登陆方法;
推荐使用“记录”方法;
①点击记录进入,选择Appscan ie浏览器(推荐),会打开设置一个刚刚设置需要测试的URL地址,进行记录登录账号、密码操作;
登录成功后,点击【我已登录到站点】,AppScan会开始分析(需要一会儿),然后记录登录操作,会执行注销操作。
记录成功后,自动返回到登录管理,此时状态会显示基于操作的登录;下一步
5.几种测试策略说明
缺省值:该策略包含所有测试,但侵入式和端口侦听器测试除外;
仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器;
仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器;
侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试);
完成:该策略包含所有 AppScan 测试,但端口侦听器测试除外;
关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用;
开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用;
仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外;
生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务”的其他用户;
Web Services:该策略包含所有 SOAP 相关的非侵入式测试;
选择合适的策略后,下一步
6.完成,选择启动全面自动扫描,完成
7.扫描测试完成后,会将结果呈现,包括一些高、中、低风险问题,需要开发人员处理;
8.导出保存报告;